Пояснительная записка к ВКР (1209213), страница 5
Текст из файла (страница 5)
– описание необходимых действий для реализации меры защиты, направленных на определение параметров настройки технических средств защиты информации;
– раздел технического проекта на создание системы защиты информации, который содержит формы для заполнения параметров настройки технических средств защиты информации.
Логически структура разработанных методических рекомендаций соответствует последовательности описания мер защиты в методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах». Структурирование подобным образом облегчает работу с разработанными методическими рекомендациями при определении необходимых для реализации мер защиты. Разработанные методические рекомендации содержат разделы, определенные в методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах», что так же упрощает ориентирование в структуре документа работников с различным уровнем подготовки.
Так же методический документ содержит таблицы, информация в которых отображены параметры настройки технических средств защиты информации при необходимости усиления защиты информационной системы, а так же обязательные для реализации параметры настройки технических средств защиты информации.
Применение разработанных методических рекомендаций предполагается на стадии разработки технического проекта на создание системы защиты информации.
Сотрудник, разрабатывающий технический проект, после определения технических средств, использование которых необходимых для реализации мер защиты информации, формирует настройки данных технических средств, в соответствии с обязательными к реализации мерами.
Настройки технических средств фиксируются в разработанных формах настроек, после определения настроек технических средств защиты информации и передачи технического проекта на создание системы защиты на реализацию, заполненные формы настроек используются для указания параметров при настройке определенных в проекте технических средств защиты информации.
Наглядно этап применения разработанных методических рекомендаций показан на рисунке 3.1.
Рисунок 3.1 – Этап практического применения разработанных методических рекомендаций
При разработке методических рекомендаций для нормативного регулирования рассматриваемых мер использовался приказ ФСТЭК России №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах».
Обязательные для реализации меры защиты оператор определяет исходя из особенностей защищаемой информационной системы, согласно ранее перечисленным нормативно-правовым документам.
Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
Разработка методических рекомендаций проходила поэтапно. Первым этапом при анализе методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах» были определены меры защиты информации, реализация которых прямо или косвенно осуществляется с применением технических средств защиты информации. Связь данных мер защиты информации с техническими средствами защиты информации осуществляется путем настроек технических средств защиты информации в соответствии с требованиями меры защиты, обязательной к реализации.
После чего, для каждой из определенных на первом этапе мер защиты, разрабатывался алгоритм действий работника, разрабатывающего технический проект на создание системы защиты информации. В ходе реализации данного алгоритма осуществляется определение параметров, необходимых для настройки технических средств защиты информации.
Для более подробного описания принципов формирования алгоритма определения параметров рассмотрим выдержку из разработанных методических рекомендаций.
В разделе 2.1 методических рекомендаций рассматриваются меры по идентификации и аутентификации субъектов и объектов доступа (ИАФ).
Первой мерой в рамках данного раздела является идентификация и аутентификация пользователей, являющихся работниками оператора.
С целью реализации меры определен порядок следующих действий:
– определить внутренних пользователей ИС;
– присвоить учетные записи внутренним пользователям ИС;
– определить виды доступа;
– определить разрешенные действия до идентификации и аутентификации пользователей в ИС (смотри УПД.11);
– определить параметры пароля (смотри ИАФ.4);
– установить идентификатор.
К внутренним пользователям относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в информационной системе присвоены учетные записи.
Внутренние пользователи организации определяются в соответствии с ОРД.
Данный алгоритм разработан на основе одной из мер по защите информации, определенной согласно ФСТЭК России «Меры защиты информации в государственных информационных системах». При разработке алгоритма была проанализирована мера защиты ИАФ.1, на основании анализа были определены действия работника, разрабатывающего технический проект на создание системы защиты информации, благодаря выполнению которых будут определены необходимые параметры для настройки технических средств защиты информации.
Идентификация и аутентификация пользователей, являющихся работниками оператора это первая мера в разделе идентификации и аутентификации субъектов доступа и объектов доступа согласно методическому документу ФСТЭК России «Меры защиты информации в государственных информационных системах». Мера обязывает реализовывать в информационной системе идентификацию и аутентификацию пользователей, являющихся сотрудниками оператора.
В целях выполнения данной меры по защите информации оператор обязан при доступе в информационную систему осуществлять идентификацию и аутентификацию пользователей, являющихся сотрудниками оператора (внутренних пользователей), а так же обеспечить контроль процессов, запускаемых от имени этих пользователей или системных учетных записей.
Данная мера защиты информации реализуется при помощи технических средств защиты информации. С целью реализации меры защиты ИАФ.1 при разработке технического проекта на создание системы защиты информации необходимо определить параметры настройки технических средств защиты информации, а именно:
– определить внутренних пользователей информационной системы. Внутренние пользователи информационной системы определяются в соответствии с организационно-распорядительной документацией оператора, к ним относятся работники оператора, выполняющие свои должностные обязанности (функции) с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами (инструкциями) утвержденными оператором. Организационно-распорядительные документы по защите информации включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором для регламентации процедур защиты информации в информационной системе в ходе ее эксплуатации;
– присвоить внутренним пользователям информационной системы учетные записи для их идентификации и аутентификации с использование технических средств защиты информации в информационной системе;
Так же мера защиты информации ИАФ.1 обязывает однозначно идентифицировать и аутентифицировать пользователей информационной системы для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации по управлению доступом субъектов доступа к объектам доступа (УПД). А именно в соответствии с мерой УПД.11 «Разрешение (запрет) действий пользователей разрешенных до идентификации и аутентификации». Для реализации данных требований применяя технические средства защиты информации необходимо:
– определить для пользователей виды доступа;
– определить действия разрешенные до идентификации и аутентификации пользователей в информационной системе. Определение происходит на основании меры УПД.11 «Разрешение (запрет) действий пользователей разрешенных до идентификации и аутентификации». К действиям, разрешенным до идентификации и аутентификации можно отнести включение рабочей станции, выключение рабочей станции, перезагрузка рабочей станции, смена пользователя.
Для осуществления аутентификации пользователей в системе могут быть использованы пароли, аппаратные средства, биометрические характеристики, иные средства или в случае многофакторной (двухфакторной) аутентификации – определенная комбинация указанных средств. С целью выполнения данных требований меры защиты ИАФ.1 необходимо:
– определить параметры пароля.
Параметры пароля определяются в соответствии с мерой защиты информации ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации». Данная мера защиты определяет требования по управлению средствами аутентификации. При использовании в информационной системе механизмов аутентификации на основе пароля, применяя технические средства защиты информации, данная мера защиты устанавливает требования к основным характеристикам пароля, а именно:
– минимальная сложность пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
– минимальное количество измененных символов при создании новых паролей;
– максимальное время действия пароля;
– минимальное время действия пароля;
В разработанных методических рекомендациях при рассмотрении меры защиты ИАФ.4 сформирована таблица 3.1, содержащая диапазон допустимых значений характеристик пароля, в зависимости от класса защищаемой информационной системы и необходимости усиления. Таблица 3.1 помогает разработчику технического проекта на создание системы защиты информации, сформировать настройки технических средств защиты информации в соответствии с требованиями к реализации и усилению ИАФ.4, а так же минимизировать ошибки, при определении параметров настройки.
Таблица 3.1 – Параметры характеристик пароля
| Реализация меры | Класс | |||
| 1 | 2 | 3 | ||
| Длина пароля: | От 8 символов; | От 6 символов; | ||
| Алфавит пароля: | От 70 символов; | От 60 символов; | ||
| Количество попыток ввода неверного пароля до блокировки: | От 3 до 4; | От 3 до 8; | От 3 до 10; | |
| Время блокировки программно-технического средства или учетной записи: | От 15до 60 минут; | От 10 до 30 минут; | От 5 до 30 минут; | |
| Срок замены пароля: | До 60 дней; | До 90 дней; | До 120 дней; | |
При выполнении алгоритма для реализации меры защиты информации ИАФ.1 на этапе определения пароля содержится ссылка на меру защиты информации ИАФ.4, что позволяет поэтапно определять необходимые параметры настройки технических средств защиты в соответствии с уточняющими параметры мерами.
При определении параметров согласно методическим рекомендациям осуществляется формирование и заполнение форм, и перечней для заполнения, определяющих параметры настройки технических средств защиты информации. Заполненные формы с параметрами настройки технических средств защиты информации предназначены для включения в раздел технического проекта на создание системы защиты информации и последующего практического использования при настройке средств защиты информации. Наглядно одна из форм, а именно форма перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия представлена таблицей 3.2.
Таблица 3.2 – Форма для заполнения перечня типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия»
| № п/п | Тип устройства | Рабочая станция | Идентификатор (ID/IP/MAC/др.) |
| Жесткие диски | РС1 | ||
| ОЗУ | |||
| Съемные диски | |||
| Сетевые карты | |||
При заполнении данной формы разработчик технического проекта на создание системы защиты информации формирует параметры настройки технических средств защиты информации для реализации меры защиты ИАФ.2 «идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных».
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
